Ministerio de Administraciones Públicas. Gestión de identidad

2 respuestas

Al utilizar el Portal del MAP (Ministerio de Administraciones Públicas) para participar en los foros que menciono en el post anterior, he tenido que darme de alta, en un sistema bastante casero de «gestión de identidad» más propio de un foro de comentarios sobre logos y melodias que de un portal de la Administración.

Después de dar un montón de datos (más allá del límite de los que en la LOPD se denominan «pertinentes y no excesivos»), y elegir la password, aparece una pantalla para acceder, tecleando el DNI y las password. Sorprendido porque el sistema me negaba el acceso indicando clave errónea (la acababa de poner y me acordaba perfectamente) aproveché la opción de «Clave olvidada» para restaurarla. Lo intento de nuevo, y sigue dándome el mismo error con la clave nueva.

Al final he resuelto el problema que me impedía entrar en el portal y que consistía en una incorrecta descripción del procedimiento, que no mencionaba el correo de activación. Este tema está también incorrrectamente tratado en el mensaje de error que da el sistema, al introducir usuario y password, y que incorrectamente indica que se ha introducido una password errónea en vez de señalar que la cuenta no se ha activado y que hay que revisar en el correo para buscar el mensaje de activación.

Efectivamernte hay un correo de activación que verifica el e-mail, que también debería quedar verificado por el procedimiento de restauración de la password, aunque en este caso no sirva para nada.

En fin, decepcionante sistema de Gestión de Identidades, que además ignora que existen cerificados (más de un millón y medio, sumando los de todos los PSC) que simplificarían la gestión a quien los quisiera utilizar. Y eso que uno de los temas del Foro es la «Firma Electrónica«

Comentarios a la Ley de Administración Electrónica

5 respuestas

Recientemente y hasta el 30 de septiembre de 2006 el Ministerio de Administraciones Públicas ha abierto un par de Foros para recoger opiniones de temas que debería ser cubiertos en esta Ley. El primer foro es el de Administración Electrónica y el segundo el de Firma Electrónica.

He enviado algunos comentarios que edito para ampliarlos aquí.

Firma de órgano administrativo como asimilada de la de persona jurídica 

Por la normativa de Potestades, la firma del órgano se deriva de la firma de quien tiene atribuciones para representarlo. No traslademos a la Administración Pública lo que es un error flagrante de la Ley 59/2003 de Firma Electrónica: la atribución de la «capacidad» de firmar a las Personas Jurídicas. Las Personas Jurídicas no tienen firma, lo tienen sus representantes. Otra cosa sería que se publicara una «Ley del Sello Electrónico» que atributa ciertos efectos (pero no los de equivalencia funcional con la firma manuscrita, obviamente)al uso de la criptografía de clave pública de forma automatizada, o con un control laxo de la identidad de quien activa esta modalidad de «firma», tal y como sucede en la actualidad con los sellos de caucho.

Firma electrónica con diferentes sistemas operativos y navegadores 

Tanto Safari para Mac como Konqueror para KDE tienen soporte para la gestión de certificados, al menos en la variante de «Client Certificate» de SSL 2.0. Al igual que Firefox y todas las variantes de Mozilla, al igual que IE y Opera. En todos los casos se pueden instalar los ficheros PKCS#12 que generan varios Prestadores de Servicios de Certificación. En mi opinión, el PSC (de entre los que emiten «Certificados Cualificados») que lo hace más sencillo para los usuarios es Camerfirma. También se pueden hacer «pruebas» con certificados gratuitos en Mac, Linux o Windows con los disponibles en este sitio de Certificados de Prueba. No obstante, para obtener un certificado cualificado (el que otorga valor de firma manuscrita a la electrónica) se debe pasar por un procedimiento que obligatoriamente supone verificación presencial de identidad.

Nuevo Entorno Integrado de Desarrollo para Java

2 respuestas

Aptana es un nuevo IDE (Integrated Development Environment) para Java, orientado a desarrollos Web.

Tiene versiones para Windows, MacIntosh y Linux, y Plug-in para herramientas como Eclipse (anuncian otras próximamente).

Incluye:

  • Asistentes de Código Javascript, HTML y CSS, cin la posibilidad de funciones propias.
  • Outliner que permite destacar vistas instantáneas de la estructura del codigo Javascript, HTML y CSS
  • Avisos de error de diferente severidad respecto al código
  • Posibilidad de adaptar y extender el Interfaz de Usuario de Aptana
  • Soporte multiplataforma
  • Fuente libre y abierta (Free and Open Source). Disponible pronto

aptana.png

Entorno Integrado de Desarrollo para Ruby on Rails

2 respuestas

Plasmacode es el sitio donde encontrar RoRED un IDE (Integrated Development Environment) gratuito para Ruby on Rails.

Hay que reconocer que, cada vez más, la productividad en desarrollo de servicios para la Web 2.0 se está basando en herramientas de Ruby, para la que ya existe, por ejemplo RadRails.

En este momento, la versión de RoRED es para Windows e incluye las siguientes características:

  • Pestañas de agrupación Model-Views-Controller para editores
  • Navegación en Código (Ctrl+Click) en los Métodos
  • Fácil cambio entre editores
  • Marcadores, Hipermarcadores, grabación y reproducción de Macros
  • Plantillas persistentes para cada proyecto Rails
  • Resaltado de término de sintaxis de Ruby, html, rhtml

rored.png

Francisco Gómez Roldan, in memoriam

Deja un comentario

Francisco Gómez Roldán en el SCHAcabo de conocer por ABC otro fallecimiento que me ha impactado. Es el de Francisco Gómez Roldán.

Conocí a D. Francisco Gómez Roldán en junio del año 2000, en uno de los Seminarios eBusiness para Directivos de Banesto que yo organizaba, con D. José María Fuster. Se acababa de incorporar al Banco como Consejero Delegado y acudía por primera vez a esos seminarios que se organizaban a las 8 de la mañana y de los que era alumno aventajado el propio Presidente, D. Alfredo Sáenz. Además, dado que los Seminarios (una especie de Internet Business School) versaban sobre los fundamentos técnicos de Internet y sus posibilidades de negocio en general y de negocio en Banca en particular, su experiencia como Director de Avanza Internet Ventures, suponía un plus, en el terreno práctico respecto a lo presentado en los Seminarios.

Fue consejero de AOL Avant, iniciativa que el BSCH impulsó de la mano de AOL Time Warner, con Sol Meliá y Planeta, con el objetivo de hacer llegar Internet al gran público con el portal Prodigios y los terminales Paquito (DotStation) de Intel, que incorporaban un navegador de uso muy sencillo.

Fue Consejero de AC Hoteles, S.A.

Francisco Gómez Roldán, nacido en Madrigalejos (Cáceres) en 1953 años, estaba casado y tenía dos hijos.

Ingeniero aeronáutico (incorrectamente citado como Ingeniero Agrónomo por algunas fuentes) y Postgrado por la Universidad Politécnica de Madrid. Economista por la Universidad de Madrid, ha realizado diversos cursos de especialización en finanzas.

Entró en el Banco Vizcaya en 1978 y recaló en 1991 en Argentaria, donde pasó a ser consejero delegado desde 1996 hasta junio de 2000, año en que se produjo la unión con el Banco Bilbao Vizcaya (BBV).

Los acuerdos de fusión firmados por Francisco González, entonces presidente de Argentaria, no le permitieron continuar en la nueva entidad.

Constituyó junto a Marcial Portela, director general del entonces BSCH, la sociedad Avanza Internet Ventures, dedicada a tomar participaciones en incipientes empresas on line, aunque abandonó esta actividad al incorporarse a Banesto en junio del 2000 como consejero delegado.

Menos de dos años después, en marzo de 2002, fue reclamado para la dirección financiera del Grupo Santander.

En abril de 2004 fue nombrado consejero de la Sociedad Bolsas y Mercados Españoles.
Tras incorporarse al Santander, el 21 de octubre de 2004 fue nombrado Consejero Delegado de Abbey National plc. para un proyecto de 3 años que no pudo concluir por causa de su enfermedad.

Presentó su renuncia durante el pasado mes de julio de 2006 por motivos personales que sin duda tenían que ver con su salud. Ha fallecido en Nueva York con 53 años.

Jaime de Yraolagoitia, in memoriam

3 respuestas

Jaime de YraolagoitiaYa no podré conocer personalmente a Jaime de Yraolagoitia. He estado a puntito varias veces, porque conozco a gente próxima a él en IDG y en Terra (ahora Telefónica).

Era una de esas personas que deseas conocer desde hace años, desde que leía sus artículos en PCWORLD. Sorprendente por el nivel técnico de sus escritos, sobre todo si tienes en cuenta que es Filósofo (además de Licenciado en Filosofía y Letras).
Ya no podrá ser. A través de menéame he leido la noticia que me ha dejado impactado, en la propia web de Terra

Aún están disponibles sus escritos recientes en su blog.

Descanse en paz.

Securewave Sanctuary Device Control.

1 respuesta

Mensaje para directivos y responsables de seguridad.

  • Evite que los empleados se lleven ficheros y documentos de la empresa sin su consentimiento.
  • Publique y haga cumplir sus políticas de gestión de la información.

Hay normas como la LOPD (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal) que imponen ciertas obligaciones a las empresas respecto a las medidas de seguridad que deben seguir.

Lo que pretende esa norma es proteger los datos de las personas, que pueden verse sometidos al abuso de un tratamiento indiscriminado en manos de empresas de marketing y publicidad, especialmente con las posibilidades de tratamiento masivo que dan los ordenadores. Sin embargo, las medidas de seguridad que impone su Reglamento (de momento el Reglamento de la anterior LORTAD, aunque se espera la próxima publicación del Reglamento específico de la LOPD) son de gran utilidad para proteger otros tipos de información.

Controles de Sanctuary Device ControlUno de los riesgos que han aparecido recientemente es el de los dispositivos de almacenamiento (como memorias y discos duros) que son utilizables mediante puertos USB. Y puesto que prácticamente todos los ordenadores tienen puertos USB, la información de la empresa (tanto la que está en el disco local del ordenador como la que está en los servidores de ficheros y en la intranet) corre el riesgo de acabar en uno de esos dispositivos.

La empresa Securewave, cuyos productos distribuye mi empresa Albalia Interactiva ha creado diferentes aplicaciones de seguridad, de las que la más interesante, para atajar el problema que he descrito, es Sancturay Device Control.

Sancturay Device Control es una aplicación ligera que se instala en cada ordenador de la organización y controla los diferentes dispositivos que se le conectan y la información que entra y sale por ellos.

Se gestiona centralizadamente en entornos de red Microsoft que dispongan de Active Directory y permite dar permisos de acceso a periféricos (CD, DVD, Floppy, memory sticks ..) relacionados con grupos de usuarios o de máquinas.

Estos permisos de acceso pueden ser del tipo escritura, lectura o temporales, e incluso en relación con la cantidad máxima de información que se puede insertar o extraer de ellos diariamente. Para usuarios cuyo perfil deba permitir que no se impongan limitaciones, el sistema permite controlar la natiraleza exacta de los ficheros que entran y salen de los dispositivos.

Esta herramienta, de muy bajo coste unitario por licencia (menos de 100 euros, aunque depende del número de unidades adquiridas en una determinada instalación) es una ayuda esencial para poder dar cumplimiento a algunas de las obligaciones de la LOPD que eran muy difíciles de satisfacer hasta fechas recientes.

Medios de pago con teléfono móvil celular

9 respuestas

Parece que los medios de pagos móviles empiezan a madurar.

Sorprende que, en España, donde se ha liderado la innovación en este campo, se promocionen tan poco por las entidades financieras.

Tienen que venir de otros paises a decir que lo estamos haciendo bien, como ha recogido Mobipay en su boletín de Julio de 2006.

Otro caso de diseño español es el de Hal Cash, servicio desplegado por varias entidades españolas y que va consiguiendo la incorporación de algunas entidades extranjeras que permite enviar dinero a un telefono móvil de forma que puede ser retirado en un cajero automático de los 6.000 disponibles de las 7 entidades financieras asociadas.

En estos momentos ya están funcionando en el sistema entidades de España y Ecuador, y se espera la próxima incorporación de entidades de otros países.

Para utilizar este servicio tan solo necesita:

  • Ser cliente de alguna de las entidades asociadas.
  • Emitir la orden de pago por cualquiera de los canales disponibles en dicha entidad (que en función de su propia estrategia puede ser banca telefónica, internet, telefóno móvil, oficinas, SMS ó cajeros)
  • Conocer el número de teléfono móvil de la persona a la que quiera enviar el dinero.

Se pueden resolver situaciones como no poder sacar dinero de un cajero en plena noche por no disponer de la tarjeta o que esta no funcione, o tener que realizar un pago a alguien sin necesidad de saber su número de cuenta.

Las entidades asociadas a HalCash son las siguientes: Bancaja, Banesto, Bankinter, Caja Laboral Popular, Cajamar, Caixa Galicia y El Monte en España y Banco de Guayaquil en Ecuador.

EMC compra RSA por 2.100 millones de dólares

1 respuesta

Aunque EMC es un buen nombre que nos recuerda la única fórmula que recordamos desde el Bachillerato (es broma), RSA puede ser aun mejor.

logo_security_dynamics.gifEn julio de 1996, Security Dynamics adquirió por 200 millones de dólares RSA Data Security, la empresa que se creó para comercializar la implementación del algoritmo RSA (por sus creadores Ron Rivest, Adi Shamir, y Leonard Adleman), el software de cifrado más utilizado del mundo y que es esencial en sistemas como el SET (Secure Electronic Transactions) y el SSL usado por Netscape, Microsoft, IBM, AT&T, y otros, en sus servidores «seguros». Al conocerse entonces la noticia las acciones de Security Dynamics subieron un 27%.

SecurID de Security Dynamics RSASecurity Dynamics había crecido gracias a sus sistemas de identificación de tipo OTP (One Time Password) SecurID y su servidor de autenticación asociado ACE/Server.

La empresa resultante, que adquirió además DynaSoft AB en 1997, conservó el nombre de RSA.

Los años siguientes fueron de crecimiento para Security Dynamics ahora denominada RSA.

  • En Febrero de 2001, adquirió Xcert International, desarrolladora de productos relacionados con la certificación digital
  • En mayo de 2001, adquirió 3-G International, desarrolladora de productos relacionados las tarjetas inteligentes y la biometría.
  • En agosto de 2001, adquirió Securant Technologies, especialista en gestión de identidades, con un producto estrella: ClearTrust.
  • En diciembre de 2005, adquirió Cyota, especialista en seguridad online security y solucions anti-fraude y anti-phishing para entidades financieras.
  • En abril de 2006 adquirió PassMark Security

Por tanto el movimiento de EMC implica un posicionamiento especial del «sector del almacenamiento y la gestión documental» en el «sector de la seguridad», lo que tiene cierta lógica.

EMC, por su parte, también ha experimentado un gran crecimiento, no solo orgánico sino a través de adquisiciones:

  • En agosto de 1999: Data General y CLARiiON
  • En abril de 2001: FilePool (que pasó a ser Centera)
  • En septiembre de 2002: Prisa Networks
  • En abril de 2003: Astrum
  • En juiio de 2003: Legato Corporation (fabricante del software EMC Legato Networker backup)
  • En octubre de 2003: Documentum
  • En diciembre de 2003: VMware
  • En octubre de 2004: Dantz Development Corporation
  • En noviembre de 2004: Allocity
  • En diciembre de 2004: System Management Arts
  • En agosto de 2005: La propiedad intelectual de Maranti Networks
  • En agosto de 2005: Rainfinity
  • En octubre de 2005: Captiva Software
  • En octubre de2005: Acartus
  • En enero de 2006: Internosis
  • En mayo de 2006: Kashya
  • En mayo de 2006: Interlink Group
  • En junio de 2006: nLayers
  • En junio de 2006: ProActivity Software Solutions Ltd.

EMC, que cerró 2005 con una facturación de 9.660 millones de dólares (un 17% más que en 2004), pagará 28 dólares por cada acción de RSA, cuyos ingresos mundiales en el 2005 fueron de 310,10 millones de dólares (un 0,8% más que en 2004). De esta forma, el fabricante de almacenamiento desembolsará cerca de 2.100 millones de dólares para tomar las riendas de un proveedor cuyo catálogo engloba soluciones de seguridad relacionadas con la autenticación, el control de accesos, la administración de identidades y la protección de datos

Cuando concluya la operación a finales de 2006, RSA pasará a convertirse en la división de seguridad de EMC, dirigida por Art Coviello, hasta ahora CEO y presidente de la compañía de seguridad, que pasará a ser uno de los vicepresidentes de EMC.

Con toda seguridad, el nombre de RSA se incorporará al elenco de marcas tan señeras como Documentum. Captiva, Centera, Vmware, Legato y tantas que exhibe EMC.

Virtual PC, máquina virtual gratuita alternativa a Vmware

14 respuestas

Gracias a Sergio Hernando. en su artículo sobre Windows Fundamentals for Legacy PCs (WinFLP) he visto la referencia a Virtual PC.
En la informática forense, el uso de máquinas virtuales, habitualmente VMWARE,  es habitual, por lo que se han convertido en una herramienta imprescindible.

Veremos que tal pita Virtual PC 2004, la herramienta de virtualización que Microsoft pone a disposición de los usuarios de forma gratuita.

Sin embargo, hay que reconocer que Vmware lleva ventaja  en lo referente a experiencia y estabilidad, y, pese a ser un producto propietario (aunque muy reconocido en entornos open)  ha reaccionado rápidamente y también dispone de heramientas gratuitas.